SVILUPPARE UNA SOLIDA CULTURA SULLA CYBERSECURITY

05. Rendere sicuro l’accesso ai sistemi

Incoraggiare tutti a utilizzare una frase d’accesso, composta da almeno tre parole comuni scelte a caso che forniscano un’ottima combinazione facilmente ricordabile e sicura.

Se si sceglie una password tipica: deve essere lunga e avere caratteri minuscoli e maiuscoli, possibilmente anche numeri e caratteri speciali; evitare ovvietà, ad esempio «password», sequenze di lettere come «abc» o di numeri come «123»; evitare di usare informazioni personali reperibili online.

Comunque, che si tratti di frasi d’accesso o di password: non riutilizzarle altrove; non condividerle con i colleghi; attivare l’autenticazione a più fattori; utilizzare un gestore di password dedicato.

RENDERE SICURO L’ACCESSO AI SISTEMI

Contesto

Non è mai scontato sottolineare l’importanza della password come prima difesa contro data breach, data leakage o minacce all’integrità ed alla disponibilità dei dati.
Ogni anno viene realizzata una classifica delle password più diffuse nei principali mercati mondiali, valutando anche il rischio di violazione connesso all’utilizzo di password facilmente identificabili.
L’Italia, come la maggior parte d’Europa, presenta un indice di rischio elevato, con oltre 4 password trafugate e divulgate online pro capite. Secondo la ricerca , tra le password più comuni in Italia ci sono ancora semplici serie numeriche come “123456”, “123456789”, 12345″, “12345678”, “000000”. Ma si trovano anche nomi comuni di persona, animali, o riferimenti a squadre di calcio come “juventus”, “password”, “andrea” e “napoli”.

Buone pratiche

A livello aziendale è essenziale:

  • Forzare l’utilizzo di caratteri speciali nella definizione della password del dipendente, congiuntamente all’utilizzo di numeri, punteggiatura, presenza di lettere maiuscole e minuscole,nonchè di una lunghezza minima di almeno 8 caratteri, pena invalidità della password stessa;
  • Impostare il cambio password forzato periodicamente (si raccomanda ogni 3 mesi, a scalare a seconda della criticità delle risorse accedute con quelle credenziali);
  • Cambiare sempre la password di default che molti sistemi e dispositivi hanno preimpostata (esempio classico, la coppia user: admin e password: admin per molti dispositivi di rete);
  • Definire policy che vietino l’utilizzo di password in condivisione con colleghi, la condivisione delle password utilizzate per l’accesso ai propri dispositivi, la scrittura in chiaro della passwaord su qualsiasi supporto (agenda, lavagna, blocco notes, etc.) lasciato incustodito e a vista in ufficio;
  • È buona norma inoltre non utilizzare le stesse password per accedere a servizi differenti, in modo da limitare un possibile effetto a cascata che potrebbe scaturire dalla compromissione di un servizio;
  • Inoltre, considerando l’aumentare continuo e l’evolversi dei rischi informatici, è raccomandabile impostare l’autenticazione a più fattori, almeno sui sistemi maggiormente critici: l’autenticazione a più fattori fa riferimento alla necessità di accoppiare qualcosa che si sa (tipicamente le credenziali username e password) con qualcosa che si ha (tipicamente un token o comunque un secondo canale come un